ÖBB Rail Cargo Group (MIKE)

Herausforderung

MIKE ist die digitale Logistikplattform der ÖBB Rail Cargo Group, der Güterverkehrssparte der Österreichischen Bundesbahnen. Die Plattform unterstützt geschäftskritische Prozesse wie Bestellung, Tracking und Kapazitätsplanung und wird kontinuierlich um neue Funktionen erweitert, um End-to-End-Supply-Chain-Abläufe digital abzubilden.

Mit der Weiterentwicklung von MIKE hin zu einer verteilten, eventgetriebenen Plattform stiegen die Anforderungen an die Cloud-Basis erheblich: Die Plattform musste zuverlässig über mehrere Umgebungen hinweg skalieren, gleichzeitig jedoch strengen Sicherheits-, Compliance- und Betriebsanforderungen gerecht werden, wie sie für einen Betreiber kritischer Infrastruktur typisch sind.

Die zentrale Herausforderung bestand darin, eine standardisierte, hochautomatisierte und sichere Azure-basierte Plattform zu schaffen, die:

• eine große Anzahl von Services zuverlässig betreiben kann,
• schnelle, nachvollziehbare Deployments ermöglicht,
• und produktionsreife Stabilität bietet, inklusive Observability, Incident Response und Kostenkontrolle.

Lösung

In enger Zusammenarbeit mit den Entwicklungsteams der ÖBB Rail Cargo Group gestaltete und implementierte WhizUs die MIKE-Zielarchitektur auf Microsoft Azure – stark unterstützend und mit Fokus auf Automatisierung, Nachvollziehbarkeit und Security-by-Design

• Cloud-Architektur & Infrastructure as Code (IaC): Die vollständige Bereitstellung von Azure-Ressourcen erfolgt über Terraform, wodurch konsistente, automatisierte Rollouts über mehrere Subscriptions und Umgebungen hinweg möglich sind.
• Kubernetes-Plattform: Aufbau von 15 Kubernetes-Clustern über fünf Umgebungen, ergänzt durch Azure-Services wie AKS, App Services, Azure AD, Load Balancer und Azure Functions.
• GitOps: Einführung von ArgoCD als zentrales GitOps-Control-Plane, um rund 100 Services automatisiert, nachvollziehbar und versioniert von der Entwicklung bis in die Produktion auszurollen.
• CI/CD & Standardisierung: Aufbau einer Azure DevOps Multi-Stage-Pipeline für die Infrastruktur sowie standardisierter Pipelines für Business-Applikationen zur schnelleren Projektbereitstellung.
• Kundenspezifisches IAM-System & Security: Entwicklung eines umfassenden Security-Konzepts (RBAC, JIT/JEA, Netzwerksegmentierung, Firewalling, CSPM inkl. Monitoring, Compliance und Alerting).
• Shared Services & Integration: Bereitstellung zentraler Entwickler-Services (z. B. Azure SQL, Blob Storage, File Shares, CDN) sowie API-/Integrationsanbindung (u. a. über Azure Service Bus).
• SRE & Betrieb: SRE-Konzept inkl. Monitoring, Distributed Tracing, Alerting, sowie Budget-/Kostenkontrolle und Subscription-Governance.
• Hybrid-/Spezialkomponenten: Betrieb einzelner Komponenten (z. B. Elasticsearch, Neo4j) als Container auf VMs inkl. Management durch WhizUs.
• Hybrid-Ansatz: MIKE wurde als hybride Plattform umgesetzt und sicher mit On-Premises-Systemen verbunden, um bestehende Services und Datenquellen zu integrieren und gleichzeitig Azure für skalierbare Cloud-Native-Workloads zu nutzen.

Impact

• Automatisierte Azure-basierte Plattform-Basis für den skalierbaren Betrieb der MIKE-Services über mehrere Umgebungen hinweg.
• Schnellere, konsistente Releases durch GitOps und standardisierte CI/CD-Pipelines.
• Verbesserte Security- und Compliance-Fähigkeit durch ein Zero-Trust-orientiertes Sicherheitsmodell und kontinuierliches Monitoring.
• Höhere Stabilität im Betrieb durch SRE-Praktiken und bessere Transparenz bei Kosten und Governance.
• Skalierbare Unterstützung von development teams durch standardisierte GitOps-Workflows und SRE-Praktiken.